Fail2ban - nem a teljes jail fut.

 ( kalmarr | 2016. február 25., csütörtök - 21:56 )

Sziasztok,

a következő fail2ban problémával fordulok hozzátok.
Feltetettem egy fail2ban 0.8.13-1, amit a Debian 8 enged. A „jail.conf”-ban, amit szerettem volna bekapcsolni true ra állítottam (csatolva). Elvileg nagyon nem alakítottam át csak egy-két e-mail küldést tettem bele a .conf-ba.

http://pastebin.com/R0pZHeaH

A service fail2ban restart hiba nélkül lefut, de ha megvizsgálom a # fail2ban-client status, akkor csak (szerintem) 4 „jail”-t futtat független attól, hogy többet bekapcsoltam (ráadásul van ami elől szerepel a .conf-ban és van ami a legvégén, ami „plusz logikátlan”, dolog, mert nem akad meg valahol, valamilyen hibánál.

Status
|- Number of jail: 4
`- Jail list: rainloop, ssh, roundcube, imscp

Kérdésem, hogy én „rontottam el” valamit a „jail.conf”, esetleg mire érzékeny a .conf amit lelkes amatőrként elrontottam?

Köszi!

Kalmi

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

fail2ban log mit mond?

4 szintre állítva.

http://pastebin.com/s7J41Tf4

A postfix-et akartam tesztelni (az volt az utolsó két bejegyzés), ezzel #fail2ban-client postfix

Tesztként kikapcsoltam mindent, de akkor is fut az SSH, ez amúgy normális?

Ha tippelnem kéne, akkor nem azt a konfigot editáltad, amit ő olvas. Ezt könnyen és gyorsan lehet tesztelni: rakj szintaktikai hibát a konfig fájlba (vagy tüntesd el onnan, hogy ne tudja megnyitni), ha így sincs változás, akkor tuti nem jó helyen kapirgálsz. Egyébként meg man, illetve strace a jóbarátaid.

Az eltűntetés fals eredményt adhat, ha a program több helyen is keres konfig file-t. Jó lehet a file access time vizsgálata, vagy amit írtál, módosítás a konfigon.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A .conf-ot 100%-eléri a fail2ban, mivel pl: az imscp szűrő nem eleme az alap készletnek. Többször is próbáltam feltelepíteni már rá szabályos módon a fail2ban-t.
#apt-get purge fail2ban
kerestem fail2ban maradványt és töröltem mindent
#apt-get install fail2ban
(így 100%-szerintem, hogy minden a helyére került).

Próbáltam a szűrőket is kicserélni "frissíteni" a 0.8.14 legfrissebb verzióra, de ez sem segített.
Amit tapasztaltam még, hogy egy másik gépen, más op rendszeren (Ubuntu 14.04 - Fail2ban v0.8.11), hogy hasonló a helyzet, de ott több szűrőt enged futni, de ott sem mindet (szintén nem kapok hibát).

# fail2ban-client status
Status
|- Number of jail: 6
`- Jail list: ssh, webmin-auth, ssh-iptables, apache-badbots, apache-nohome, ssh-blocklist

Egy harmadik gép (Debian 7.9 Fail2ban v0.8.6) itt 13 szűrő fut:

fail2ban-client status
Status
|- Number of jail: 13
`- Jail list: dropbear, ssh-iptables, postfix, ssh-ddos, repeatoffender, xinetd-fail, ssh, webmin-auth, sasl, dovecot, named-refused-tcp, pam-generic, fail2ban

Itt minden bekapcsolt szűrő fut. Összefoglalva a jelenlegi tudomásom szerint ez az ami nem lehet :(.
Esetleg megkérhetlek benneteket, hogy Ti is megnéznétek, hogy fut-e mind, illetve milyen verziójú Fail2ban-t használtok.

Köszi!

fail2ban 0.8.13

Status
|- Number of jail: 7

és tényleg 7 jail van bekonfigolva a jail.local-ban.

szvsz valamelyik .d mappában bennhagytál egy file-t, vagy módosítottál vmit véletlenül.

alapvetően nem a jail.conf-ot szerkeszteném, hanem egy külön fájlba írnám a változásokat. ha jól emlékszem erre van is egy külön figyelmeztető felhívás a fájl elején, hogy a csomag frissítése esetén a változásaid elveszhetnek, ezért a jail.local-t vagy milyen fájlt használd.

Hupsz ez lehet, mivel először a .conf-ot nézi, utána a jail.local-t. Én pont fordítva csináltam az eredeti conf-ot másoltam .local-ba, azaz a sorrend szerint conf -> local, amiben meg minden kivan kapcsolva (mivel eredeti file), és csak az fut, ami nincs az eredetiben. Tesztelem is...